✔ Session-Problem
- Themenstarter ecology
- Beginndatum
Hi
Du hast doch beim Login ein Feld wo der Benutzer einen Username eingeben kann.
Der Benutzer könnte jetzt dort einen SQL Befehl eingeben.
Du wirst mir jetzt sagen ich habe doch die funktion mysql_real_escape_string().
Ich sage dir prüfe trotzdem ob der Benutzername wohlgeform ist. Das heißt ob er nur aus Buchstaben oder Zahlen besteht. Dann würde der String erst gar nicht an die Funktion mysql_real_escape_string() weiter gegeben werden.
Wieso das alles. Was ist wenn die funktion mysql_real_escape_string() einen Bug hat?
Nochmal: Traue keinen Benutzereingaben. Das heißt alles was in den $_COOKIE, $_GET, $_POST, $_REQUEST Arrays steht ist gefährlich.
Die Funktion die du suchst ist preg_match
Mfg Akkie
Du hast doch beim Login ein Feld wo der Benutzer einen Username eingeben kann.
Der Benutzer könnte jetzt dort einen SQL Befehl eingeben.
Du wirst mir jetzt sagen ich habe doch die funktion mysql_real_escape_string().
Ich sage dir prüfe trotzdem ob der Benutzername wohlgeform ist. Das heißt ob er nur aus Buchstaben oder Zahlen besteht. Dann würde der String erst gar nicht an die Funktion mysql_real_escape_string() weiter gegeben werden.
Wieso das alles. Was ist wenn die funktion mysql_real_escape_string() einen Bug hat?
Nochmal: Traue keinen Benutzereingaben. Das heißt alles was in den $_COOKIE, $_GET, $_POST, $_REQUEST Arrays steht ist gefährlich.
Die Funktion die du suchst ist preg_match
Mfg Akkie
Zuletzt bearbeitet:
Hi Akkie!
Danke für den Tipp, um so sicherer um so besser, stimmt natürlich
Jetzt verstehe ich auch was du meinst, ganz schön raffiniert was sich manche einfallen lassen (auch wenns nicht schön ist.)
Ich werd in Zukunft wohl darauf mehr achten müssen
Danke für eure Hilfe!
Ecology
Danke für den Tipp, um so sicherer um so besser, stimmt natürlich
Jetzt verstehe ich auch was du meinst, ganz schön raffiniert was sich manche einfallen lassen (auch wenns nicht schön ist.)
Ich werd in Zukunft wohl darauf mehr achten müssen
Danke für eure Hilfe!
Ecology
